Uma vulnerabilidade crítica (CVE-2026-45247, CVSS 9.8) na extensão Mirasvit Cache Warmer para Magento permite execução remota de código sem autenticação, via um único cookie manipulado. A Sansec identificou mais de 6.000 lojas vulneráveis. A falha afeta todas as versões anteriores a 1.11.12, lançada em 25 de maio de 2026 após disclosure coordenado.
Como o ataque funciona
A extensão Mirasvit Full Page Cache Warmer para Magento e Adobe Commerce armazena estados de sessão (moeda, grupo de cliente) em um cookie chamado CacheWarmer. O problema: um plugin executado em toda requisição lê esse cookie e passa o valor diretamente para a função unserialize() do PHP, sem restringir quais classes podem ser instanciadas. Um atacante envia um cookie manipulado com objetos serializados maliciosos e, usando gadget chains presentes nas dependências do Magento, obtém execução remota de código completa.
A vulnerabilidade foi registrada como CWE-502 — desserialização de dados não confiáveis. Não exige autenticação, não requer sessão de admin e não depende de nenhuma configuração ativa. Basta uma única requisição HTTP com o cookie forjado para comprometer o servidor.
Escopo e impacto real
| Dado | Detalhe |
|---|---|
| CVE | CVE-2026-45247 |
| CVSS | 9.8 — Crítica |
| Versões afetadas | Todas anteriores a 1.11.12 |
| Versão corrigida | 1.11.12 (25 de maio de 2026) |
| Autenticação necessária | Não |
| Lojas potencialmente afetadas | 6.000+ identificadas |
A Sansec identificou cerca de 6.000 lojas vulneráveis em scans — número provavelmente maior porque muitos sites usam Cloudflare ou outros CDNs que mascaram a presença da extensão. O agravante: o Cache Warmer vem empacotado com outros produtos Mirasvit, então muitos lojistas estão vulneráveis sem saber que o plugin está instalado.
Linha do tempo da vulnerabilidade
- 24 de abril de 2026 — Sansec descobre a falha; clientes do Sansec Shield são protegidos no mesmo dia
- 21 de maio de 2026 — Mirasvit é notificada oficialmente
- 25 de maio de 2026 — Versão corrigida 1.11.12 é lançada
- 26 de maio de 2026 — CVE-2026-45247 é publicado com score 9.8
Como detectar e se proteger
Monitore requisições HTTP na sua loja procurando o padrão CacheWarmer:(Tz|Qz|YT) — esses prefixos em base64 indicam objetos PHP serializados e são sinais claros de tentativa de exploração. Atualize imediatamente para a versão 1.11.12 ou superior. Se não puder atualizar agora, deploy um WAF com regra de bloqueio para esse padrão de cookie. Execute o scanner eComscan para identificar webshells e backdoors e revise manualmente a pasta pub/ em busca de arquivos PHP desconhecidos.